Seit Ende September sind Angriffe auf drei Sicherheitslücken in Ciscos ASA- und FTD-Firewalls bekannt. Updates zum Schließen der Lücken stehen seitdem zur Verfügung. Anfang November sind jedoch noch immer mehr als Tausend Cisco-Geräte in Deutschland im Netz erreichbar und verwundbar. Nun meldet Cisco auch noch, dass Angreifer neue Wege zum Missbrauch von zwei der drei Schwachstellen nutzen.
Im Laufe des Mittwochs hat Cisco seine Warnung vor laufenden Angriffen auf die Sicherheitslücken auf die VPN-Komponente der Firewalls aktualisiert. Der Hersteller schreibt, dass er am Mittwoch eine neue Angriffsvariante auf beide Schwachstellen bemerkt hat. Die Cyberattacken können auf nicht gepatchten Geräten dazu führen, dass diese unerwartet neu starten, was in Denial-of-Service-Situationen mündet. Cisco empfiehlt nachdrücklich, auf die korrigierten Softwareversionen zu aktualisieren.
Aktuelle Zahlen der Shadowserver Foundation zu den für die Schwachstellen anfälligen Geräte zeigen viele Tausende weltweit. Ganz vorne stehen die USA mit derzeit mehr als 13.500 anfälligen Cisco-Firewalls. Aber auch Deutschland fällt negativ auf, mit aktuell noch 1160 verwundbaren Cisco-ASA- und FTD-Firewalls. Seit Anfang Oktober haben Admins also nicht einmal die Hälfte der damals lückenhaften Cisco-Geräte mit den Sicherheitsupdates versorgt.
Insgesamt geht es laut Cisco um drei Sicherheitslücken: Bei der ersten können authentifizierte Angreifer aus dem Netz beliebigen Code auf Ciscos ASA- und FTD-Firewalls schieben und ausführen (CVE-2025-20333, CVSS 9.9, Risiko "kritisch"). Als Ursache nennt Cisco die unzureichende Prüfung von HTTP(S)-Anfragen, die Nutzern mit gültigen VPN-Zugangsdaten solche Attacken ermöglicht. Die zweite Lücke erlaubt es nicht angemeldeten Nutzern (bei Ciscos ASA und FTD) sowie angemeldeten Angreifern mit niedrigen Rechten (in Ciscos IOS, IOS XE und IOS XR), beliebigen Code auf betroffenen Geräten auszuführen. Auch das geht auf unzureichende Validierung von HTTP-Anfragen zurück (CVE-2025-20363, CVSS 9.0, Risiko "kritisch"). Die letzte Schwachstelle ermöglicht nicht authentifizierten Angreifern aus dem Netz den Zugriff auf zugriffsbeschränkte URL-Endpunkte, die zum VPN-Fernzugriff gehören (CVE-2025-20362, CVSS 6.5, Risiko "mittel").
Die neu beobachteten Angriffsvarianten betreffen die Schwachstellen CVE-2025-20333 und CVE-2025-20362. IT-Verantwortliche sollten Ciscos Warnungen ernst nehmen und die bereitstehenden Aktualisierungen zeitnah anwenden.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare